chkrootkit 入侵监测系统的构建

【chkrootkit入侵监测系统的构建】所谓rootkit,是一类入侵者经常使用的工具 。这类工具通常非常的隐秘、令用户不易察觉,通过这类工 具,入侵者建立了一条能够总能够入侵系统,或者说对系统进行实时控制的途径 。所以,我们用自由软件chkrootkit来建立入侵监测系统,来保证对系统 是否被安装了rootkit进行监测 。
chkrootkit在监测rootkit是否被安装的过程中,需要使用到一些操作系统本身的命令 。但不排除一种情况,那就是入侵者有针对性的已经将; chkrootkit使用的系统命令也做修改,使得chkrootkit无法监测rootkit,从而达到即使系统安装了chkrootkit也无法检测 出rootkit的存在,从而依然对系统有着控制的途径,而达到入侵的目的 。那样的话,用chkrootkit构建入侵监测系统将失去任何意义 。对此,我 们在操作系统刚被安装之后,或者说服务器开放之前,让chkrootkit就开始工作 。而且,在服务器开放之前,备份chkrootkit使用的系统命 令,在一些必要的时候(怀疑系统命令已被修改的情况等等),让chkrootkit使用初始备份的系统命令进行工作 。
安装 chkrootkit
下载和安装 chkrootkit 工具 [root@localhost ~]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ← 下载chkrootkit--03:05:31-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz=> `chkrootkit.tar.gz"Resolving ftp.pangeia.com.br... 200.239.53.35Connecting to ftp.pangeia.com.br|200.239.53.35|:21... connected.Logging in as anonymous ... Logged in!==> SYST ... done. ==> PWD ... done.==> TYPE I ... done. ==> CWD /pub/seg/pac ... done.==> PASV ... done. ==> RETR chkrootkit.tar.gz ... done.Length: 37,140 (36K) (unauthoritative)100%[====================================>] 37,140 5.67K/s ETA 00:0003:05:46 (5.30 KB/s) - `chkrootkit.tar.gz" saved [37140][root@localhost ~]# tar zxvf chkrootkit.tar.gz← 展开被压缩的源代码[root@localhost ~]# cd chkrootkit*← 进入chkrootkit源代码的目录[root@localhost chkrootkit-0.46a]# make sense← 编译[root@localhost chkrootkit-0.46a]# cd ..← 返回上层目录[root@localhost ~]# cp -r chkrootkit-* /usr/local/chkrootkit← 复制编译后文件所在的目录到指定位置[root@localhost ~]# rm -rf chkrootkit*← 删除遗留的源代码目录及相关文件测试 chkrootkit
然后测试 chkrootkit 是否能够正常运行 。[root@localhost ~]# cd /usr/local/chkrootkit← 进入chkrootkit的目录[root@localhost chkrootkit]# ./chkrootkit | grep INFECTED← 测试运行chkrootkit稍等片刻…如果没有显示“INFECTED”字样,而直接出现命令行提示符,说明一切OK![root@localhost chkrootkit]# cd← 回到root用户目录
让 chkrootkit 的监测自动化
用Shell Script编写一段脚本,通过这个脚本让chkrootkit的监测自动化 。如有rootkit被发现的时候,发送邮件通知root用户,并且将运行结果保存在/var/log/messages文件中 。[root@localhost ~]# vi chkrootkit← 建立chkrootkit自动运行脚本#!/bin/bashPATH=/usr/bin:/binTMPLOG=`mktemp`# Run the chkrootkit/usr/local/chkrootkit/chkrootkit > $TMPLOG# Output the logcat $TMPLOG | logger -t chkrootkit# bindshe of SMTPSllHow to do some wrongsif [ ! -z "$(grep 465 $TMPLOG)" ] && [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; thensed -i "/465/d" $TMPLOGfi# If the rootkit have been found,mail root[ ! -z "$(grep INFECTED $TMPLOG)" ] && grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" rootrm -f $TMPLOG[root@localhost ~]# chmod 700 chkrootkit← 赋予脚本可被执行的权限[root@localhost ~]# mv chkrootkit /etc/cron.daily/← 将脚本移动到每天自动运行的目录中chkrootkit 相关的系统命令的备份
如前言所述,当chkrootkit使用的系统命令被入侵者更改后,chkrootkit对; rootkit的监测将失效 。所以,我们事前将chkrootkit使用的系统命令进行备份,在需要的时候使用备份的原始命令,让chkrootkit 对 rootkit进行检测 。[root@localhost ~]# mkdir /root/commands/← 建立暂时容纳命令备份的目录[root@localhost ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname`

推荐阅读